Das RSA-Verfahren kann nicht nur wie bereits beschrieben als Verschlüsselungs- bzw. Konzelationssystem verwendet werden, sondern auch als Authentifikationssystem oder digitales Signatursystem. Und das funktioniert so:
“Verfahren der Kryptographie, Teil 8: RSA als digitales Signatursystem” vollständig lesenRSA ist ein asymmetrisches Verschlüsselungsverfahren. Es wurde nach den Initialen der Nachnamen seiner Erfinder Ronald L. Rivest, Adi Shamir und Leonard Adleman benannt, die das Verfahren 1978 im Paper “A Method for Obtaining Digital Signatures and Public-Key Cryptosystems” (PDF) vorgestellt haben.
“Verfahren der Kryptographie, Teil 8: RSA” vollständig lesenAlle bisher vorgestellten Verfahren wurden am Beispiel der Verschlüsselung beschrieben, dienten also dem Erreichen des Schutzziels “Vertraulichkeit”. Verschlüsselungssysteme werden auch als Konzelationssysteme bezeichnet. Mit Hilfe der Kryptographie kann aber auch das Schutzziel “Integrität” erreicht werden. Dabei geht es um die Frage, ob Daten bei der Übertragung verändert wurden oder nicht. Die dazu verwendeten Systeme werden Authentifikationssysteme genannt.
“Grundlagen der Kryptographie, Teil 8: Authentifikationssysteme” vollständig lesenIm PHP Magazin 4.2016 ist ein Artikel über Angriffe auf Webbrowser und Webclient erschienen.
Auf entwickler.de gibt es eine Leseprobe des Artikels.
“Drucksache: PHP Magazin 4.16 – Webbrowser und Webclient als Angriffsziel” vollständig lesenIm windows.developer 6.16 ist ein Artikel über die Sicherheit von Shims erschienen. Die verwendet Microsoft zum Beispiel im Rahmen der FixIt-Patches, Cyberkriminelle können sie aber für ihre Zwecke missbrauchen.
“Drucksache: Windows Developer 6.16 – Wie sicher sind Shims eigentlich?” vollständig lesenAdobe warnt vor einem 0-Day-Exploit für den Flash Player, ein Patch wurde für den 12. Mai angekündigt. Und Microsoft hat am Mai-Patchday unter anderem drei 0-Day-Schwachstellen behoben, von denen eine ebenfalls bereits für Angriffe ausgenutzt wird.
Alle bisher vorgestellten Verfahren, angefangen bei der Substitution über das One-Time-Pad zu DES und AES, waren symmetrische Verfahren: Für Ver- und Entschlüsselung wird der gleiche Schlüssel verwendet, siehe Abbildung 1.
“Grundlagen der Kryptographie, Teil 7: Symmetrische und asymmetrische Verfahren” vollständig lesenSeit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten wissen wir, dass die NSA und wahrscheinlich auch alle anderen Geheimdienste jede Kommunikation überwachen, die sie in ihre virtuellen Finger bekommen. Aber wie ist es eigentlich um den Bereich Machine-to-Machine bestellt?
Geheimdienstschnüfflern dürfte es ziemlich egal sein, wer kommuniziert: Menschen mit Menschen, Menschen mit Maschinen, oder auch Maschinen mit Maschinen. Erst einmal wird alles gespeichert, was man kriegen kann – vielleicht kann man es ja irgendwann einmal gebrauchen. Da hilft nur eines: Der Schutz jeder Kommunikation, insbesondere natürlich vor dem Ausspähen.
MQTT und CoAP sind zwei der wichtigsten Protokolle in der M2M-Kommunikation. Wie sieht es denn mit deren Sicherheit aus?
Weiterlesen auf entwickler.de!
Die Entschlüsselung eines mit AES verschlüsselten Textes erfolgt durch Anwendung der inversen Transformationen in umgekehrter Reihenfolge. Die dafür benötigte inverse S-Box wird aus der vorhandenen S-Box berechnet. Die Rundenschlüssel werden wie bei der Verschlüsselung berechnet, aber in der umgekehrten Reihenfolge angewendet.
Die inversen Transformationen sind:
“Verfahren der Kryptographie, Teil 7: AES-Entschlüsselung und -Sicherheit” vollständig lesenCyberkriminelle verbreiten ihre Schadsoftware vor allem über Drive-by-Infektionen. Auf harmlosen Websites eingeschleuster Schadcode nutzt Schwachstellen im Browser oder in dessen Plug-ins aus, um Schadcode auf den Rechnern nichtsahnender Besucher einzuschleusen.
Dabei werden meist mehrere Exploits, also Code zum Ausnutzen von Schwachstellen, nacheinander durchprobiert. So lange, bis der Angriff erfolgreich war oder der Cyberkriminelle sein Pulver verschossen hat. Besonders gefährlich sind dabei die so genannten 0-Day-Exploits, die sich gegen Schwachstellen richten, für die es beim ersten Bekanntwerden der Angriffe noch keine Patches gibt.
Weiterlesen auf entwickler.de!
Der Advanced Encryption Standard, abgekürzt AES, ist der offizielle Nachfolger von DES. Als abzusehen war, das DES nicht mehr lange sicher sein würde, wurde vom US-amerikanischen National Institute of Standards and Technology (NIST) am 2. Januar 1997 die Suche nach einem Nachfolger offiziell eingeleitet.
“Verfahren der Kryptographie, Teil 6: Der Advanced Encryption Standard (AES)” vollständig lesenDES verschlüsselt 64 Bit lange Klartextblöcke. Da die zu verschlüsselnden Daten i.d.R. deutlich länger sind und nicht zwingend Blockweise vorliegen, wurden verschiedene Betriebsarten für Blockchiffren wie DES entwickelt und teilweise genormt.
Was sich im Netz alles so ansammelt, ist ganz schön verräterisch. Allein genommen, aber erst recht, wenn man verschiedene Quellen miteinander verknüpft. Auch mit der Anonymität sieht es dann oft auch nicht besonders gut aus.
Wir hinterlassen ständig Spuren im Netz, die schon einzeln viel über uns und unser Umfeld verraten. Verknüpft man diese Spuren, erfährt man noch viel mehr. Heutzutage verbirgt man so etwas gerne hinter dem Begriff „Big Data“. Das klingt so schön harmlos – in diesen Datenbergen findet man ja bestimmt sowieso nichts. Dabei zeigt doch vor allem Google immer wieder, was man alles finden kann, wenn man weiß, wie man suchen muss.
Weiterlesen auf entwickler.de!
Im Entwickler Magazin 3.16 ist ein Artikel über die aktuellen Angriffe auf SSL und TLS erschienen: DROWN und CacheBleed.
Mal wieder gefährden veraltete Algorithmen die Sicherheit von SSL und TLS, und dazu kommt dann noch ein Hardware-Problem. Und beides innerhalb eines Tages gemeldet. Wenn das so weitergeht stehen SSL/TLS mal wieder turbulente Zeiten bevor.
“Drucksache: Entwickler Magazin 3.16 – Die aktuellen Angriffe auf SSL/TLS” vollständig lesenIm Entwickler Magazin 3.16 ist ein Artikel über Angriffe auf das Domain Name System DNS erschienen.
Das Domain Name System (DNS) ist quasi das Telefonbuch des Internets. Niemand merkt sich IP-Adressen, stattdessen werden Domain-Namen verwendet. Die dann vom Computer in die IP-Adressen der zugehörigen Server umgewandelt werden. Indem beim zuständigen Nameserver nachgefragt wird, welche Adresse denn zu einem bestimmten Namen gehört.
“Drucksache: Entwickler Magazin 3.16 – Angriffsziel DNS” vollständig lesen